Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gijzelsoftware Anatova treft ook computersystemen in Nederland en België

Er gaat nieuwe gijzelsoftware rond met de naam Anatova. De meeste slachtoffers zitten in de VS, België en Duitsland, maar ook Nederland behoort tot de getroffen landen, meldt McAfee. Volgens de beveiligingsspecialist kan Anatova uitgroeien tot een serieuze bedreiging.

Anatova versleutelt bestanden op de getroffen computer en geeft ze pas vrij na betaling van losgeld. Onderzoekers van McAfee ontdekten de nieuwe ransomwarefamilie in een privaat peer-to-peer netwerk en nemen de dreiging bijzonder serieus. De gijzelsoftware is klein, maar krachtig en zo ontworpen dat kwaadwillenden de code modulair kunnen uitbreiden. Bovendien gaat Anatova op zoek naar mogelijke networkshares, waarna ook de bestanden op die computers versleuteld worden. Volgens McAfee hebben de makers van de ransomware veel kennis in huis. Zo beschikt elke sample van de software over een eigen, unieke key.

Voordat Anatova overgaat tot gijzeling van de computer, kijkt de ransomware naar de naam van de ingelogde gebruiker en de taal van het besturingssysteem. Op die manier wordt gecontroleerd waar de gebruiker zich bevindt. Landen waar de gijzelsoftware niet werkt, zijn de voormalige Sovjetstaten, Syrië, Egypte, Marokko, Irak en India. Dat kan er volgens McAfee op wijzen dat de makers uit een van deze landen afkomstig zijn. "Het is vrij gebruikelijk dat de voormalige Sovjetstaten op de lijst met uitzonderingen staan, maar bij het zien van de andere landen waren we erg verrast. We hebben ook nog geen idee waarom juist deze landen zijn uitgesloten", klinkt het bij McAfee.

Anatova misbruikt het icoontje van een game of andere applicatie om gebruikers te verleiden de software te downloaden. Na besmetting van het systeem eist Anatova een losgeld in cryptomunten van 10 dash, omgerekend ongeveer 615 euro. Volgens McAfee is dat vrij veel in vergelijking met andere ransomware.

Anatova
Anatova treft momenteel vooral computersystemen in de VS, België, Duitsland en Frankrijk. Grafiek: McAfee

Door Michel van der Ven

Nieuwsredacteur

23-01-2019 • 12:35

87 Linkedin Google+

Reacties (87)

Wijzig sortering
Anatova misbruikt het icoontje van een game of andere applicatie om gebruikers te verleiden de software te downloaden.
De gebruiker ziet het icoon niet tijdens een download, maar wel op het moment dat die de mogelijkheid heeft om de executable te starten.

Tot zover bekend wordt dit verspreid onder torrents. Bij bijvoorbeeld een gedownload spel kan men de executable vervangen voor iets dat op de daadwerkelijke executable lijkt. Ook is het mogelijk om de payload (van slechts 32KB) te injecteren in een bestaande executable. Het spel start wel, maar op de achtergrond worden alle documenten van minder dan 1 MB groot versleuteld.

Waar het vandaan komt is onbekend. De ransomware draait in ieder geval niet als de regionale instellingen van Windows op één van deze landen is gezet:
• All CIS countries
• Syria
• Egypt
• Morocco
• Iraq
• India
Het vermoeden is dat de aanvaller(s) in één of meer van deze landen zich bevinden, en dat de andere landen ook uitgesloten zijn ter obfuscatie. Dat hoeft natuurlijk niet. De landen kunnen ook uitgesloten zijn omdat er gemiddeld niet veel te halen valt.

De ransomware zou overigens geen netwerkcode bevatten. Eenmaal uitgevoerd doet het alles lokaal. Het maakt wel misbruik van al gekoppelde netwerkschijven.

Het versleutelproces begint met een RSA public key (meegeleverd met de ransomware). Een nieuw RSA sleutelpaar en een symmetrische sleutel worden gegenereerd (Salsa20) waarmee bestanden van 1 MB of kleiner worden versleuteld. In elke directory waarin bestanden versleuteld worden wordt een tekstbestand met een ransomware note achtergelaten. System directories zijn uitgesloten om Windows draaiende te houden.

Zodra de cycle klaar is wordt de symmetrische sleutel (en IV) versleuteld met de gegenereerde RSA public key, en dit samen met de gegenereerde RSA private key nog een keer versleuteld. Het resultaat wordt als base64 toegevoegd aan de ransomware note. De symmetrische sleutel die de daadwerkelijke encryptie van de bestanden doet bestaat plain text (bruikbaar) dus alleen in het geheugen, en alleen tijdens het versleutelingsproces. Door de keten van encryptie is daarna de RSA private key van de ransomwarebeheerder nodig om de symmetrische sleutel te verkrijgen.

Van wat ik begrijp wordt een nieuwe Salsa20 symmetrische sleutel (en IV) gebruikt per directory die versleuteld wordt en waarvoor een ransomware note wordt uitgebracht.

Oh, en de ransomware probeert alle shadow copies te vernietigen, maar kan dit enkel als de gebruiker Administrator rechten heeft.

[Reactie gewijzigd door The Zep Man op 23 januari 2019 15:01]

Waarom worden enkel de bestanden kleiner dan 1MB versleuteld? De meeste mensen hechten waarde aan persoonlijke data zoals foto's (en die zijn groter dan 1MB). Of zie ik iets over het hoofd?
Staat in de uitleg van McAfee:
...Anatova will open the file and get its size, comparing it to1 MB. Anatova will only encrypt files1 MB or smaller to avoid lost time with big files; it wants to encrypt fast.

en afgeleid hiervan:

... This is usual in many ransomware families, because the authors want to avoid destroying the Operating System, instead targeting the high value files.

Hieronder vallen word, excel, pdf, jpg's, etc. Hierin zit natuurlijk vaak de info die van belang is voor een bedrijf. Je voorkomt dan ook dat je voor jandoedel grote bestanden gaat encrypten wat meer tijd kost en eerder opvalt doordat bijvoorbeeld een database begint te sputteren.
Je bent me net voor, dat zat ik me ook af te vragen. Zo'n complex stukje software en dan deze restrictie.
Ik vermoed dat dat te maken heeft met de snelheid en de impact van de hoeveelheid bestanden binnen een bepaalde tijd. Bijv.: 100 bestanden van 1MB of 1 bestand van 100MB. Daarnaast kan ik me voorstellen dat hoe groter een bestand is hoe minder MB/s versleuteld kan worden (oftewel 1 bestand van 100MB duurt bijv. 10 seconden en 100 bestanden van 1 MB duurt dan bijv. 8 seconden, ik noem maar wat).

[Reactie gewijzigd door mrdemc op 23 januari 2019 13:48]

Prive gebruikers hechten inderdaad meer waarde aan foto's e.d., die inderdaad al heel snel groter zijn dan 1 MB.
Maar soms vergis je je in hoeveel belangrijke data er toch in Word of Excel documenten zitten.
Mensen die hun huishoudboekje in Excel bijhouden (ze zijn er).
Iemand die persoonlijke gedichten schrijft.
Een document waarin je je nabestaanden wilt laten weten hoe je je uitvaart geregeld wilt hebben (welke muziek, crematie of begrafenis enzovoorts).
Ik ken ook mensen die hun complete adresboek in een Word document hebben zitten.
Wat te denken van je backup van het adresboek van je telefoon.
En zo kan ik nog veel meer voorbeelden bedenken, en dan is dit nog maar voor prive personen.

Kun je nagaan hoe het voor ZZP'ers of een viermansbedrijfje is (die hun ICT vaak niet uitbesteden, waar iedereen alles kan en mag en er niet wordt nagedacht over back-ups of beveiliging totdat het te laat is).

[Reactie gewijzigd door walteij op 23 januari 2019 14:05]

Dus voortaan alle documenten in de system directories zetten :+
Dat wordt vast gepatched in de volgende build :+
Nee, je moet gewoon offline backups maken.
Maar aangezien de meesten dat niet hebben blijft het lucratief om ransomeware te maken.
Heel veel ransomware, geen idee of daat ook bij deze is, infecteert een systeem en wacht eerst een flinke periode. Om zo te zorgen dat ook alle offline backups geïnfecteerd zijn.

En met de huidige GDPR / AVG regelgeving mogen bedrijven heel veel bestanden maar relatief kort bewaren. Dus grote kans dat de offsite bestanden dan ook allemaal besmet zijn.
Ik neem vooral online backups via Dropbox. Dus eigenlijk gewoon synchronisatie waarbij mijn gegevens op twee pc's staan. Ik ga er van uit dat het mij opvalt als plots een groot aantal documenten wordt gesynchroniseerd wanneer ik er niets aan heb veranderd.

Daarnaast heb ik een backup van foto's online op Dropbox, maar waarbij de hele map NIET wordt gesynchroniseerd (ik zet ze er af en toe dus manueel via de website op). Hierbij vermijd ik dat eventuele ransomware dus de backup zou kunnen aantasten.
Of wellicht alles vertalen in arabisch of cyrillisch schrift, want dat blijkt je voorlopig te vrijwaren.

Zou het inderdaad in de characterset liggen? Dan zouden de daders in een land dat die 2 talen niet gebruikt kunnen zitten! :)
Nee, volgens het artikel van McAfee gaat het om de systeemtaal, dus tenzij je zin hebt om geen startmenu maar een qayimat albad te hebben lijkt mij dat persoonlijk geen goed idee :p
Er zijn inmiddels genoeg mensen in ons land die je daar mee kunnen helpen! ;)
Voortaan fatsoenlijke backup software gebruiken zodat je eenvoudigweg je bestanden kan herstellen. Ik gebruik bijv Duplicati. Die schrijft in mijn geval elk uur een incremental backup weg naar een webdav lokatie. Dat kost zeer weinig resources. Die webdav verbinding is alleen binnen de backup software bekend en wordt dus niet gebruikt als netwerkschijf bijv. De settings zitten achter een wachtwoord. Duplicati encrypt meteen ook de backups dus je data is behoorlijk veilig.

Ik kan elk bestand tot 60 versies terug halen en maximaal 60 dagen. Dit kun je naar believen aanpassen. Kwestie van set and forget. Mocht je daarna geïnfecteerd raken: graag gedaan. 😉
Vergeef het mij als ik het niet snap, maar als je dus de RSA private key hebt, kan je daarmee alle decryption keys krijgen? Dus hoeft maar 1 iemand die 10 dash te betalen?
Zie mijn toegevoegde opmerking aan het einde. Nee. De ransomwarebeheerder stuurt enkel het benodigde sleutelmateriaal terug dat behoort bij de specifieke geïnfecteerde computer, bij de specifiek versleutelde directory. De ransomwarebeheerder hoeft niet de RSA private keys (eigen private key + gegenereerde en teruggestuurde versleutelde private key) prijs te geven.

[Reactie gewijzigd door The Zep Man op 23 januari 2019 14:25]

Waarom zeg je dan
Door de keten van encryptie is daarna de RSA private key van de ransomwarebeheerder nodig om de symmetrische sleutel te verkrijgen.
De RSA private key van de ransomwarebeheerder is nodig omdat er geen enkele andere manier is om de symmetrische sleutel te reconstrueren. In die zin deed ik geen uitspraak over wie de RSA private key gebruikt, omdat dit duidelijk is uit de rest van mijn verhaal en latere posts.

[Reactie gewijzigd door The Zep Man op 23 januari 2019 17:28]

Dat leek mij al een zeer dom scenario, thanks.
Betekent dat dan 600 euro per directory, als er voor elke versleutelde directory ander sleutelmateriaal nodig is?
of die landen hebben veelal mensen die het zoiezo niet kunnen betalen?

veel armoede? just a idea :)
Marokko is welvarender dan velen denken (tenminste naar Noord-Afrikaanse standaard). En waarom dan niet Algerije, Afghanistan, Ivoorkust, Nigeria, de tientallen andere landen met een BNP ver onder Egypte, CIS en consoorten?
Zowiezo elke exe die je van een torrent website haalt standaard in virustotal.com smijten.
ze kunnen ook gewoon in .dll bestanden zitten hoor ;)
Oh, en de ransomware probeert alle shadow copies te vernietigen, maar kan dit enkel als de gebruiker Administrator rechten heeft.
Meeste malware zal via privilege escalation proberen om als elevated process te runnen. (kans is zeer groot op systemen die niet/slecht gepatched worden). Een mooi voorbeeld is DLL injection

admin rechten of niet, dan is het ook game over en zullen je shadow copies worden verwijderd.

bron: https://pentestlab.blog/2017/04/04/dll-injection/
Deze payload is zo klein dat er geen ruimte is voor privilege escalation. Bovendien zou dat opvallen. Deze ransomware probeert juist niet op te vallen. Hierom zit er ook geen speciale code in die een systeem onzichtbaar aanpakt. Veelgebruikte programma's die mogelijk bestanden locken worden hardhandig afgesloten, wat met een klein beetje code zo voor elkaar is.

[Reactie gewijzigd door The Zep Man op 23 januari 2019 17:31]

Buiten de lijst met landen is er ook een uitsluiting op basis van gebruikersnamen:
"One interesting function we discovered was that Anatova will retrieve the username of the logged in and/or active user and compare with a list of names encrypted. If one of the names is detected, it will go to the cleaning flow procedure and exit.

The list of users searched are:
  • LaVirulera
  • tester
  • Tester
  • analyst
  • Analyst
  • lab
  • Lab
  • Malware
  • malware
"

De volledige beschrijving van de werking kan je hier terug vinden.
Dus met andere woorden, als ik nu mijn gebruikersnaam hernoem naar "tester", en op een later moment wordt ik geïnfecteerd met dit virus gebeurt er dus niks?
volgens McAffe word "LaVirulera" gebruikt in veel VM test applicaties.

[Reactie gewijzigd door Handy-man op 23 januari 2019 14:48]

Edit:

"LaVirulera"

Als je zoekt op google is dit de 3de link

Hier zie je in meerdere afbeeldingen van deze persoon aantal keren "LaVirulera" terug komen.

Wat denken jullie?
Is hij zelf betrokken?

[Reactie gewijzigd door Handy-man op 23 januari 2019 14:46]

Hij is een mallware analist. Dus door zijn gebruikersnaam toe te voegen weten ze zeker dat hij de mallware niet zal kunnen analyseren op zijn systeem.
Blijft merkwaardig dat je de makers van de ransomware in crypto moet betalen om je bestanden ontsleutelt te krijgen. Ik kan nooit zien wie ik betaal dus waarom zou ik zonder blikken of blozen 600 euro gaan betalen?
Geen enkele garantie dat je de key of sleutel krijgt. Waar kan je aankloppen voor support?
Nergens natuurlijk...
Blijft uiteraard bijzonder irritant dit soort ransomware.
Ondanks alle pogingen lukt het maar niet dit te bestrijden.
Zolang bedrijven of mensen blijven betalen zal dit blijven bestaan.
Exact ik snap dus ook niet waarom men niet meer tijd besteed aan backups, veel leed is te voorkomen met backups.
Tijdens de wave van Wannacry veel op mijn werk gezien dat klanten alles kwijt waren.
Dan ben je blij met een dagelijkse externe backup.
Je bent wel dan even een halve dag zoet met de zaken weer op orde stellen.
Geen enkele garantie dat je de key of sleutel krijgt. Waar kan je aankloppen voor support?
Nergens natuurlijk...
Nou, de jongens van TeslaCrypt hadden wel gewoon een helpdesk. Dus het kan wel.
Dit is toch logisch? Betalingen in crypto zijn bijna niet te herleiden.

En dat jij en ik niet betalen... Backups :)
Er zijn ook mensen die geen backups hebben en toch graag al die oude familiefoto's terug willen hebben.
Of bedrijven zonder fatsoenlijke ICT tak die óók hun kritische gegevens terug willen. Dan is 600 euro natuurlijk niets, en ga je het gewoon proberen.

De makers van die ransomware zijn al blij als 100 man geld overmaken. Easy money :)
De support achter dit soort ransomware is vaak 10x beter dan elk andere helpdesk!

Volledig uitleg hoe je aan de crypto komt, hoe je moet betalen, hoe je de bestanden decrypt etc.
dus waarom zou ik zonder blikken of blozen 600 euro gaan betalen?
Het hoeft niet... aan jou de keuze. ;)
Ik heb een vraagje. Als het een bekende ransomware is dan neem ik aan dat alle virus scanners hem wel in de definities hebben staan? Hoe kan het dan dat er zoveel mensen toch besmet raken telkens? In windows zit er al sinds versie 7 ofzo standaard een virus scanner.

Moet ik nou hier ook bang voor zijn ondanks dat ik gewoon alles up to date hou?

[Reactie gewijzigd door ro8in op 23 januari 2019 13:09]

Anatova was niet bekend dus nee die zit nog niet in de uitsluitingen, nu gauw updaten want zullen er na vandaag wel bij zitten ja.

Alle antivirusbedrijven kunnen niet voorspellen wat de extensie wordt van de volgende virus dus kunnen ze niet uitsluiten.
Nee ik snap dat het begint bij een paar besmettingen, maar ik verbaas me meer over dat zo een ransomware zo veel verspreid raakt. Je zou zeggen dat bij de eerste gevallen de anti virus makers er meteen opduiken en direct updates doorvoeren. Maar blijkbaar lopen ze toch behoorlijk achter de feiten aan?
Dat ligt eraan hoe snel het wordt gemeld, de tijd tussen de eerste melding en het uitsluiten. Daarnaast nog is, miss was het gister al uitgesloten en vandaag pas in het nieuws. Who know's
Als het een bekende ransomware is dan neem ik aan dat alle virus scanners hem wel in de definities hebben staan?
Als het bekende ransomware is wel ja. Maar het nadeel van een database bijhouden, is het feit dat je de ransomware eerst moet ontdekken. En die ontdek je pas (in vele gevallen), wanneer er mensen besmet zijn.
Als je goede backups hebt, moet je nergens bang voor zijn. Indien niet, dan is dit één van de dingen om je zorgen om te maken. Ook al is deze gekend en wordt deze gedetecteerd, dat wil niet zeggen dat er niet een gewijzigde versie kan komen, of nieuwe cryptolockers.
Het is natuurlijk wel zo dat voorzichtig zijn en alles mooi bijwerken het risico op malware verkleint, maar diefstal, defecten en brand zijn nog altijd even waarschijnlijk en onvoorspelbaar.
Hoe zit dit dan bij NAS devices? Mijn NAS hangt met verschillende netwerkdrives aan mijn desktop, dus ik vermoed dat deze netwerkdrives ook versleuteld gaan worden, maar zal bvb de backup disk die fysiek aan de NAS hangt ook versleuteld worden? Wat met RAID 1?
Netwerkdrives worden ook versleuteld door deze ransomware. En afhankelijk van de instelling van je NAS zal die ook doodleuk de versleutelde bestanden op je backup schijf schrijven. Dit gebeurt dus niet door de ransomware, maar door je NAS zelf.
Raid 1 zal je daarom ook niet helpen, die helpt alleen bij hardware fouten. Alles in raid 1 wordt namelijk meteen gekopieerd naar de andere schijf, een versleuteld bestand dus ook.

Wil je hiertegen beschermd zijn dan moet je dus een backup hebben die niet rechtstreeks met je pc verbonden is, en daarbij oude versies van bestanden bewaard.

Zie ook rpfs79 zijn reactie.

[Reactie gewijzigd door Postman op 23 januari 2019 14:06]

Meerder malen gezien ja.
Wat wel werkt is de snapshot functie van QNAP bijvoorbeeld als het ware een schaduwkopie. Die kun je dan naderhand terugzetten.
Kan je Windows machine direct bij de netwerkdisk?, dan verwacht ik dat deze ook gewoon versleuteld worden.

Bij raid 1 is het helemaal simpel, dit is een 1 op 1 copy van de andere hdd, kortom dit helpt hier niets tegen. Een backup (offline / offside) met versioning etc is het enige die je kan helpen tegen dit soort issues.
(voorkomen is natuurlijk altijd beter dan genezen...)
"Anatova misbruikt het icoontje van een game of andere applicatie om gebruikers te verleiden de software te downloaden".. dat klinkt nog wel een beetje vaag.

Wil het dan naar een website? plaatst het via spam een icoontje op je desktop?
@The Zep Man geeft ook aan dat het zich veelal via Torrents verspreid. De gedachte is dus dat het een download is die het slachtoffer zelf download en dat, nadat de software gedownload is, het .exe icoontje ook lijkt op de applicatie die de gebruiker denkt te downloaden.
Zover ik uit de verschillende omschrijvingen is het dus niet iets dat je zomaar zonder meer door het bezoeken van een site opgedrongen krijgt.

De lering die ik hier uit trek is dat Je gewoon even weg moet blijven uit vage Torrent groepen en geen bestanden aan moet nemen van vreemde mannen en dat Tim Kuik over een paar maanden verteld dat het bezoek aan Torrent sites vanuit Nederland enorm is gedaald door het werk van Brein.
De lering die ik hier uit trek is dat Je gewoon even weg moet blijven uit vage Torrent groepen en geen bestanden aan moet nemen van vreemde mannen
De vraag is even wat voor soort privaat p2p netwerk dit vandaan komt, maar de realiteit is dat de torrents / uploaders op een private tracker (zoals hier: https://torrentinvites.org/trackerlist.php ) veel beter te vertrouwen zijn dan de rommel op openbare.
Is dit niet een van zekere manieren om een ellende te krijgen, een executable uit een peer to peer netwerk. Er staat nog net niet op klik op mij ik ben ransomware.
Klopt, maar omdat veel mensen 'gratis' denken aan dure software te komen en dat belangrijker vinden dan de risico's wérkt het wél.
Zo simpel ligt het niet. Er staat uit een 'privaat' p2p netwerk. Ik neem aan dat dit verwijst naar een private tracker en de uploaders die daar actief zijn en de bestanden die ze uploaden zijn eigenlijk altijd te vertrouwen.
Maakt deze software net als Petya ook gebruik van een lek in het Smb protocol of gaat deze software op een andere manier te werk?
Met Controlled folder access ben je toch wel veilig?
Als decennia is het klassieke model dat beheerdersrechten, root-toegang en dergelijke vooral gelden voor systeemhandelingen. Zo kan je vaak het besturingssysteem niet zonder slag of stoot weggooien, of systeembestanden aanpassen. Maar toch kan elk programma een willekeurig bestand uit de gebruikersmappen gewoon open en wijzigen. Ik vraag me af of dat inmiddels geen verouderd inzicht is, en bestandstoegang tot bestanden meer API-matig moet gaan worden, met een soort toegangsbeveiliging op programmaniveau. Dat je niet zonder slag of stoot een bestand kan openen in een ander programma dan het aangewezen programma.
Dat je niet zonder slag of stoot een bestand kan openen in een ander programma dan het aangewezen programma.
Door wie aangewezen programma ? Door de gebruiker ?

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Games

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True